IPv6 Routing

Started by ipv6roadstar, May 15, 2020, 09:44:45 AM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
May 15, 2020, 09:44:45 AM
Ich versuche momentan IPv6 zum laufen zu bekommen und obwohl die grundsätzliche Konfiguration in Ordnung sein sollte funktioniert etwas mit dem routing nicht.

WAN Konfiguration:
Code Select

IPv4 DHCP
IPv6 DHCP6

- Request only an IPv6 prefix
- Prefix delegation size 64
- Send IPv6 prefix hint
- Prevent release
- Enable debug

LAN Konfiguration:
Code Select

IPv4 Static

IPv6 Track Interface
- IPv6 Interface WAN
- IPv6 Prefix ID 0


Adress-Übersicht:
WAN:
IPv6 Link Local   fe80::20d:x:x:x / 64
IPv6 address   fdaa:bbcc:x:0:x:x:x:x1 / 64
+ 2001:171b:x:x:x:x:x:x / 64
manchmal auch + 2001:171b:x:x:x:x:x:x / 128

LAN:
IPv6 Link Local   fe80::20d:x:x:x / 64
IPv6 address 2001:171b:x:x:x:x:x:x / 64

Geräte im LAN erhalten eine Adresse mit 2001:171b:...... wie erwartet

Pingen mit IPv6
- opnsense zu google.com --> OK
- opnsense zu hosts in LAN --> NOK
- hosts in LAN zu hosts in LAN --> OK
- hosts in LAN zu opnsense --> NOK
- hosts in LAN zu google --> NOK

Ich sehe keine Geblockten ICMP Packete im Firewall Log

Ich habe auch schon während dem Pingen auf dem LAN gesnifft und folgendes gesehen:
Code Select

LAN
igb0 11:59:24.850584 IP6 2001:1715:dddd:dddd:dddd:dddd:dddd:a83 > 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20: ICMP6, echo request, seq 5, length 64
LAN
igb0 11:59:25.809997 IP6 fe80::dddd:dddd:dddd:2d15 > 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20: ICMP6, neighbor solicitation, who has 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20, length 32
LAN
igb0 11:59:25.810137 IP6 fe80::ddd:dddd:dddd:ea20 > fe80::dddd:dddd:dddd:2d15: ICMP6, neighbor advertisement, tgt is 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20, length 24
LAN
igb0 11:59:25.878063 IP6 2001:dddd:dddd:dddd:dddd:dddd:dddd:a83 > 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20: ICMP6, echo request, seq 6, length 64

Ist das ein routing Problem?
May 15, 2020, 05:05:27 PM #1
Glaskugel sagt, dass Du evtl. das gleiche Präfix auf WAN und LAN hast, erkennbar ist das aber mit den ganzen xxxxx und dddd nicht.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
May 16, 2020, 08:49:21 PM #2
Danke für den Input Maurice.

Die Zuordnung sieht folgendermassen aus:

LAN
Code Select

inet6 fe80::20d:b9ff:fe42:ea20%igb0 prefixlen 64 scopeid 0x1
inet6 2001:171b:226e:d7e0:20d:b9ff:fe42:ea20 prefixlen 64


WAN
Code Select

inet6 fe80::20d:b9ff:fe42:ea21%igb1 prefixlen 64 scopeid 0x2
inet6 fdaa:bbcc:ddee:0:20d:b9ff:fe42:ea21 prefixlen 64 autoconf
inet6 2001:171b:226e:d7e0:20d:b9ff:fe42:ea21 prefixlen 64 autoconf


Meine Workstation erhält dann diese Adressen
Code Select

        inet6 2001:171b:226e:d7e0:6087:ecec:fb70:433a  prefixlen 64  scopeid 0x0<global>
        inet6 fe80::9489:c6c0:ff31:2d15  prefixlen 64  scopeid 0x20<link>
        inet6 2001:171b:226e:d7e0::1f50  prefixlen 128  scopeid 0x0<global>
        inet6 2001:171b:226e:d7e0:5114:7456:4793:97fa  prefixlen 64  scopeid 0x0<global>


Nach meinem Verständnis sieht es vernünftig aus.
May 16, 2020, 09:10:56 PM #3
Quote from: ipv6roadstar on May 16, 2020, 08:49:21 PM
Nach meinem Verständnis sieht es vernünftig aus.

Der Einschätzung muss ich leider widersprechen. ;)

Wie vermutet hast Du auf WAN und LAN das gleiche Präfix (2001:171b:226e:d7e0::/64). Das kann nicht funktionieren.
Da geht irgend etwas bei der Prefix Delegation schief. Evtl. ist der übergeordnete Router falsch konfiguriert oder buggy.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
May 16, 2020, 09:25:31 PM #4
Jetzt bin ich etwas verwirrt.
Was ist mit dem Prefix fdaa:bbcc:ddee:0::/64 auf dem WAN? Wieso wird dieser nicht für das WAN verwendet?
Ich hab leider ein DSL Router vom Provider (Sunrise CH) den ich nicht "eliminieren" kann.
May 16, 2020, 09:56:19 PM #5
Quote from: ipv6roadstar on May 16, 2020, 09:25:31 PM
Was ist mit dem Prefix fdaa:bbcc:ddee:0::/64 auf dem WAN? Wieso wird dieser nicht für das WAN verwendet?
Das ist eine ULA, quasi eine private IPv6-Adresse. Die ist nicht im Internet routbar und hier nicht relevant.

Ist die Prefix Delegation im Provider-Router irgendwie konfigurierbar? Es sieht danach aus, dass der ein Präfix delegiert, dass er selbst in seinem LAN verwendet. Das darf nicht sein. Wäre aber auch nicht die erste Provider-Kiste, in der die PD verpfuscht ist.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
May 17, 2020, 09:23:36 AM #6
Danke für die Erläterung Maurice, IPv6 ist neu für mich. Beim Router kann ich fast nichts einstellen. IpV6 ein/aus und einen Host ins IpV6 DMZ stellen. Ich habe das Letztere für Opnsense auch aktiv.
Deine Feststellung ist korrekt das mein Opensense am LAN vom Router hängt.
Ich hab hier im Forum und in der Doku gelesen das für IPv6 es genügt das ich nur ein Prefix requeste und das WAN Interface keine Globale IPv6 Adresse braucht. Oft auch in kombination mit einem 64er Prefix, dieser müsste doch für das Opnsense LAN genügen, oder verstehe ich hier wieder etwas falsch?
May 17, 2020, 04:09:28 PM #7
Es ist korrekt, dass das WAN-Interface nicht unbedingt eine globale Adresse benötigt. In diesem Fall hat es aber eine (autokonfiguriert) und die liegt im gleichen Subnetz wie die LAN-Adresse. Daher ist das LAN so dysfunktional.

Selbst wenn man diese WAN-Adresse irgendwie manuell entfernen würde wäre das Problem wahrscheinlich nicht gelöst. Der Provider-Router kann nicht dasselbe Präfix in seinem LAN verwenden und gleichzeitig an einen anderen Router weiterleiten.

Hast Du mal recherchiert, ob es mit diesem Provider-Router grundsätzlich Erfahrungen mit Prefix Delegation gibt (unabhängig von OPNsense)? Es kann leider wirklich gut sein, dass das schlicht nicht funktioniert. Von den Plastikkisten mehrerer Provider ist das hinlänglich bekannt.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
May 17, 2020, 06:21:20 PM #8
Wäre Super, wenn es jemandem gelingt IPV6 einzustellen, derjenige dann das hier als Anleitung oder so postet. Habe es auch nicht hinbekommen IPV6 Delegation FritzBox -> OPNSense -> LAN einzurichten. Nach Anleitungen im Netz funzt es irgendwie nicht.  :'(
May 17, 2020, 06:34:59 PM #9
Hast Du wirklich das gleiche Problem (identisches Präfix auf WAN und LAN)? Sonst bitte eigenes Thema aufmachen.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
May 17, 2020, 07:21:53 PM #10
Ja, würde ich auch gerne so einrichten mitm identischen Präfix. Meine FritzBox 6591 würde nen */62 Präfix hergeben. Habe aber auch wie du nie so hinbekommen, dass ich von OPNsense dieses Präfix mit DHCPv6 im LAN verteile. Das einzige was geht, wie bei dir auch, dass die OPNSense-Box selbst im IPv6-Netz drin ist. Mehr nicht.  :'(

Hab selbst bis jetzt mit IPv6 noch nix zu tun gehabt. Deshalb freue ich mich, wenn jemand hier ne Lösung aufzeigt. Nix für Ungut.  :)
May 17, 2020, 10:43:48 PM #11
Früher verwendete der Provider eine Fritzbox und bei dieser konnte man die Firmware "zurücktauschen" und die Einstellungen wieder einlesen. Aktuell verwenden sie eine Box von "Sagemcom Broadband SAS". Ich habe bei dieser Box schon all die einfachen Sachen wie Port Scan etc versucht, um vielleicht doch ein Hintertürchen zu finden, leider ohne erfolg. Zugangsdaten für PPPoE geben sie auch keine heraus.

Als letzter Hinweis, der Provider Router selber erhält diese IPv6 zuweisung:
Code Select

Delegated Prefix 2001:171b:226e:d7e0::/60
CPE LAN IPv6 Address 2001:171b:226e:d7e0:2e79:d7ff:fe6d:fb43


Ich will eher keine "hacky Solution" auf meinem Opnsense damit es irgendwie mit IPv6 läuft. Ich war mir bis jetzt nicht sicher wo das Problem lag, aber jetzt werde ich mal mit dem Provider doch noch reden müssen.

Vielen Dank Maurice für deine Hilfe!

Ich werde diesen Thread weiter verfolgen und allfällige Neuigkeiten posten.
May 19, 2020, 12:41:54 AM #12
Quote from: ipv6roadstar on May 17, 2020, 10:43:48 PM
Als letzter Hinweis, der Provider Router selber erhält diese IPv6 zuweisung:
Code Select

Delegated Prefix 2001:171b:226e:d7e0::/60
CPE LAN IPv6 Address 2001:171b:226e:d7e0:2e79:d7ff:fe6d:fb43


Du könntest noch die anderen möglichen Prefix Delegation Sizes durchprobieren (/63, /62, /61). Wer weiß. Ansonsten kann nur der Provider Abhilfe schaffen. Wenn die PD in deren Router nicht funktioniert helfen leider auch keine "Hacks" in der OPNsense.

Viel Erfolg noch!
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
May 19, 2020, 12:33:25 PM #13
nicht das ich der ipv6 guru bin aber da du vom provider ja schon ein /60 delegation bekommst, solltest du das auch am WAN so einstellen. Der Sense müsste dann automatisch ein der /64 Blöcke auf der LAN Seite zuweisen.

Dein /60 Prefix erlaubt dir Adressen zwischen

Erste IP:   2001:171b:226e:d7e0:0000:0000:0000:0000
Letzte IP:   2001:171b:226e:d7ef:ffff:ffff:ffff:ffff

Der Sense wird hieraus dann für dein LAN entweder 2001:171b:226e:d7e1:: , 2001:171b:226e:d7e2:: , 2001:171b:226e:d7e3:: usw. bis 2001:171b:226e:d7ef:: delegieren.
Das Routing sollte dann auch funktionieren.
May 19, 2020, 12:57:11 PM #14
Der Provider-Router bekommt ein /60. Die OPNsense kann daher maximal ein /61 bekommen.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
Print
Go Up Pages1 2
User actions